块级加密与集中安全存储重点分析.ppt

对文件访问的控制 通过GPG 进行文件加密 块级加密 iscsi存储 集中安全存储 通过分区加密启用数据保密 LUKS ( Linux 统一密钥设置)是标准的设备加密格式。 LUKS 可以对分区或卷进行加密。必须首先对加密的卷进行解密,才能挂载其中的文件系统。 创建新加密的卷: 1. 使用 fdisk 创建新分区 2. cryptsetup luksFormat /dev/vdaN 可对新分区进行加密,并设置解密密码 3. 您输入正确的解密密码之后, cryptsetup luksOpen /dev/vdaN name 会将加密的卷 /dev/vdaN 解锁为 /dev/mapper/name 4. 在解密的卷上创建 ext4 文件系统: mkfs -t ext4 /dev/mapper/name 5. 创建目录挂载点,并挂载文件系统: mkdir /secret ; mount /dev/mapper/name /secret 6. 完成之后, umount /dev/mapper/name 并运行 cryptsetup luksClose name 以锁定加密的卷 永久挂载加密的分区 1) /etc/crypttab 包含要在系统启动期间解锁的设备列表。 name /dev/vdaN /path/to/password/file /etc/crypttab 在每一行列出一个设备,使用空格分隔字段: name：命令将用于设备的设备映射程序 /dev/vdaN：基础“已锁定”设备 /path/to/password/file：用于解锁设备的密码文件。如果该字段留空(或设置为 none ),在启动期间,系统将提示用户输入解密密码 2) 在 /etc/fstab 中创建类似于以下内容的条目: /dev/mapper/name /secret ext4 defaults 1 2 3) 创建包括密码的密钥文件。确保文件归 root 所有并且模式为 600. 使用以下命令添加 LUKS 的密钥。 # cryptsetup luksAddKey /dev/vdaN /path/to/password/file 创建加密文件系统示例 1. 按照以前所执行的操作创建分区。我们将假定设备为 /dev/vda5 。 2. 若要使磁盘永久挂载,请将以下内容附加到 /etc/fstab : /dev/mapper/encdisk /encdisk ext4 defaults 1 2 3. 创建 /etc/crypttab 并添加以下行。每次计算机引导时,都将要求提供密码： encdisk /dev/vda5 自动输入密码 如果您需要自动引导,您必须将密码放置在文本文件中,这样会构成显而易见的安全隐患。 /etc/crypttab: encdisk /dev/vda5 /root/encdisk iSCSI ( Internet SCSI )支持从客户端(发起端)通过 IP 向远程服务器上的 SCSI 存储设备(目标)发送SCSI 命令。 iSCSI 限定名称用于确定发起端和目标,并采用 iqn.yyyy-mm.{reverse domain}:label 的格式。默认情况下,网络通信是至 iSCSI 目标上的端口 3260/tcp 的明文。 iSCSI 发起端:需要访问原始 SAN 存储的客户端。 iSCSI 目标:从 iSCSI 服务器提供的远程硬盘磁盘,或“目标门户” iSCSI 目标门户:通过网络向发起端提供目标的服务器。 IQN :“ iSCSI 限定名称”。每个发起端和目标需要唯一名称进行标识,最好的做法是使用一个在Internet 上可能独一无二的名称。 若要通过 iSCSI 发起端访问新目标 : 安装 iSCSI 发起端软件: iscsi-initiator-utils 在 /etc/iscsi/initiatorname.iscsi 中设置发起端的 IQN (通常名称空间中的唯一标签与组织管理的 DNS 名称相匹配,自定义) 查找 iSCSI 服务器所提供的 iSCSI 目标(目标门户) iscsiadm -m discovery -t st -p 54 登录服务器上的一个或多个 iscsi 目标 iscsiadm -m node -T .example:rdisks.demo -p 54 -l 访问 iSCSI 存储 确定哪个设备是 iSCSI 目标 查看 dmesg 或 tail /var/log/messages 的输出。或者,通过 ls -l /dev/disk/by-path/*iscsi* 查看 iscsi符号链接所指的位置,或检查